Zoekgigant Google wil de levensduur van SSL-certificaten terugbrengen van de huidige twee jaar tot iets meer dan een jaar. Indien iedereen akkoord gaat met het voorstel, treedt het in werking vanaf maart 2020.
Google lanceerde het voorstel op de meeting van het CA/B Forum, een onofficiële industriegroep bestaande uit browsermakers en bedrijven dat SSL-certificaten beheert. Een stemronde moet nog gebeuren, maar volgens ZDNet zijn de meeste browsermakers aan boord om de geldigheid in te korten van 825 dagen (twee jaar en drie maanden) naar 397 dagen (een jaar en een maand).
De autoriteiten die de certificaten beheren, zijn hier niet over te spreken. De afgelopen jaren hebben browsermakers stelselmatig de contractduur van SSL-certificaten verminderd van acht jaar naar vijf, daarna drie en vandaag twee jaar. Een SSL-certificaat is nodig om HTTPS-trafiek te encrypteren.
Terugroepingsproces
DigiCert laat weten dat deze aanpak helemaal niets verandert aan malafide websites en dat de kost voor SSL-certificaten zal verhogen omdat het meer tijd moet steken in vernieuwingen. Volgens hen opereren malafide websites in korte tijdsperiodes van een paar dagen tot maximaal twee weken. Daarna wordt het toegevoegd aan een zwarte lijst.
Sad to see @digicert doubling down on their fight against shorter certificates. The information contained in the post is also questionable… https://t.co/vSVs2KCQgO
— Scott Helme (@Scott_Helme) August 14, 2019
Veiligheidsonderzoeker Scott Helme argumenteert dat een korte termijn voor SSL-certificaten niets te maken heeft met phishing of malware websites. Het draait vooral om het SSL-terugroepingsproces. Volgens Helme blijven slechte SSL-certificaten leven jaren nadat ze werden misbruikt en ingetrokken. Daarom is een kortere termijn wenselijk.
Regel forceren
Niet elke autoriteit die certificaten beheert, reageert negatief. Sectigo (het voormalige Comodo) ziet meer potentieel in een geautomatiseerd SSL-vernieuwingsproces om zo extra manuren te beperken.
Zelfs indien de stemming een verkorting van de geldigheid beperkt, bestaat de kans dat de browsermakers zelf in hun browsers de regel doorvoeren. Zoiets heeft nog nooit plaatsgevonden, maar zij hebben wel de macht om het te doen.
DigiCert lanceert alvast een anonieme survey bij zijn klanten om te polsen of een kortere geldigheid impact kan hebben op hun activiteit. Het resultaat daarvan zal vermoedelijk worden gepresenteerd tijdens het stemmingsproces.
Gerelateerd: Een SSL-certificaat voor je website komt uit het reclamebudget